Kun Juha kirjautui Svea Bankin järjestelmään, vastassa oli vieraan naisen henkilötiedot: ”Herää kysymys, näkeekö joku vastaavalla tavalla minun tietoni”
Juhan eteen Svea Bankin järjestelmässä avautui näkymä, jossa näkyi varsinaissuomalaisen naisen koko nimi, puhelinnumero ja osoitetiedot. Apulaistietosuojavaltuutettu kertoo, että viranomaisen tietoon on tullut muutamia vastaavia tapauksia.
Kuopiolainen Juha oli ostanut keväällä Netraudasta tuotteita ja valinnut maksutavaksi kulurahoituksen, jota myönsi ruotsalaistaustainen Svea Bank.
Hiljattain hän sai pankilta tekstiviestin, jonka mukaan maksu oli erääntymässä.
Juha klikkasi linkkiä ensin suoraan kännykästään, mutta ei päässyt etenemään. Hän kopioi linkin pöytäkoneelleen ja kokeili kirjautua uudestaan Svea Bankin järjestelmään. Hän käytti vahvaan tunnistautumiseen S-pankin tunnuksia.
Ensin Svea Bankin järjestelmä kysyi taustatietoja käyttäjän varallisuuden taustoista, minkä Juha ajatteli olevan normaali osa rahoituslaitosten tehtävää.
Seuraavaksi vastassa oli kuitenkin järkytys.
Juhan eteen Svea Bankin sivuilla avautui näkymä, jossa näkyi varsinaissuomalaisen naisen koko nimi, puhelinnumero ja osoitetiedot. Apu360 on nähnyt dokumentaatiota Juhan kohtaamasta tilanteesta.
Juha halusi ottaa yhteyttä Svea Bankiin ja raportoida ongelmasta, mutta pankin verkkosivuilta ei löytynyt tietoa, miten tällaisessa tilanteessa kuuluisi toimia. Kyse oli kuitenkin henkilötiedoista, eikä Juha halunnut lähettää niitä minne tahansa.
– Herää kysymys, näkeekö joku vastaavalla tavalla minun tietoni, Juha pohtii nyt.
Apu360 ei julkaise Juhan koko nimeä tämän pyynnöstä, koska kyse on hänen pankkiasioistaan. Hänen henkilöllisyytensä on toimituksen tiedossa.
Svea Bankin markkinointi- ja viestintäpäällikkö Pontus Widbom ei ole tietoinen tapauksesta. Hänen mukaansa pankin omassa valvonnassa ei ole käynyt ilmi vastaavanlaisia tapauksia.
Widbom pitää valitettavana, että pankin verkkosivuilta ei ole löytynyt sopivaa yhteydenottotapaa.
– Toki me otamme tällaiset hirveän vakavasti, Widbom sanoo.
– Jotta päästään ongelman juurisyyhyn, asiakkaan pitäisi olla meihin yhteydessä.
Mikä tämänkaltaisessa tietosuoja-asiassa on oikea väylä olla yhteydessä Svea Bankiin?
Widbom palaa asiaan haastattelun jälkeen sähköpostitse. Hänen mukaansa asiakas voi olla yhteydessä Svea Bankiin puhelimitsekin, jolloin pankki tarvittaessa ohjaavat oikeaan yhteydenottokanavaan.
Kotisivujen ylänavigaatiosta ja hakutoiminnolla löytyvästä Ota yhteyttä -osioista löytyy yleiset yhteystiedot, joiden kautta saa aina lisätietoja asiaan kuin asiaan. Lisäksi tarjoamme Tietoa meistä -osiossa mahdollisuuden lähettää palautelomake vahvasti tunnistautuen, hän kirjoittaa.
Apu360 esitteli Juhan tilanteen myös apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaalle.
– Meille on tullut muutamia tämänkaltaisia tilanteita vastaan ilmoitettuina tietoturvaloukkaustilanteina, Pihamaa sanoo.
Mitään erityistä trendiä Juhan tilanteen kaltaisista ongelmista ei kuitenkaan ole tietosuojavaltuutetun toimiston tiedossa.
Pihamaa arvioi, että Juhan kohtaamassa tilanteessa saattaisi olla kyse tunnistautumisjärjestelmän teknisestä virheestä.
Pihamaa kertoo, että tietosuojavaltuutetun toimiston tietoon on aiemmin tullut tapauksia, joissa on ollut kyse melko monimutkaisista teknisistä virhetiloista, joiden jäljille ei ole ollut helppo päästä.
– Tietojärjestelmissä voi olla haavoittuvuuksia tai yhteensopimattomuutta. Silloin kyse on teknisestä virheestä. Toinen vaihtoehto olisi, että joku henkilö tekee inhimillisen virheen, esimerkiksi avaa jollekin toiselle käyttöoikeuden jonkun toisen tilille. Inhimillinen virhe on luonnollisesti aina paljon helpommin selvitettävissä ja korjattavissakin.
Pihamaa kuitenkin rauhoittelee: kyse on yksittäistapauksista, eikä pankkiasiakkaiden tarvitse olla huolissaan tietoturvastaan. Hän korostaa, että rekisterinpitäjien eli tässä tapauksessa pankkien pitää huolehtia, että järjestelmät ovat ajan tasalla ja niitä myös testataan.
– En olisi huolissani ainakaan siitä näkökulmasta, että miten rekisterinpitäjät asioitaan hoitavat. Pankkitoimiala on hyvin säänneltyä, ja heillä on tiukkoja standardeja, joita heidän tulee noudattaa.
Jos kansalainen kohtaa Juhan kokeman tilanteen, hänen tulisi Pihamaan mukaan olla yhteydessä rekisterinpitäjään, jotta tilannetta päästään tutkimaan ja estämään.
– Näissä ketjuissa on mukana useita toimijoita. Rekisterinpitäjällä on vastuu selvittää, missä vika on ollut.
Tietoturvan näkökulmasta Pihamaa haluaa nostaa esiin vielä aivan toisen ongelman. Finanssisektorilla ilmenee paljon kalasteluyrityksiä, joiden takia ihmiset voivat joutua identiteettivarkauksien uhreiksi. Tällöin ihminen usein ensin itse on haksahtanut huijausviestiin.
